Author

Topic: Pc trading: sécurité contre le hack? (Read 611 times)

legendary
Activity: 2604
Merit: 2353
April 26, 2019, 03:36:20 AM
#40
C'est parce qu'il ne faut pas le dire mais il n'y a aucune verification de "préemption" lorsque tu crées un "wallet".
Un wallet c'est juste une clé privée.
Et comme tu l'auras compris puisqu'il n'y a pas de verification d'existence tu peux te retrouver avec la clef privée d'un wallet qui existe déja et qui est utilisé par quelqu'un d'autre...
BTC et les altcoins utilisant ce système comptent juste sur le fait que le nombre d'adresses possibles est tellement grand qu'il serait soi-disant impossible de générer 2fois la même adresse  Tongue
Je n'ai jamais compris cette logique : si on prend une personne qui joue au loto la probabilité qu'elle gagne est infinitésimale et relève de l'improbable. Pourtant il y a bien des gagnants!

(Si je dis une bêtise qu'un pro me corrige et m'explique)
J'ai trouvé un post de satoshi qui explique sa philosophie concernant cette question :

1/C'est beaucoup plus rentable d'utiliser sa puissance de calcul pour miner un bloc que pour chercher des clefs privées utilisées.

2/Apparement pour lui on est pas censé stocker tous ses fonds à une même adresse, mais sur plusieurs adresses liées à son wallet... Là je suis plus dubitatif, à cause des exchanges, des web wallets et surtout des fees les gens ne font pas cela.
De plus le fait de pouvoir checker ses fonds détenus à une adresse(et non son wallet) via la blockchain, ainsi que la possibilité de pouvoir importer une adresse seule, ne rend pas vraiment naturel l'utilisation par wallet.

There's a separate public/private keypair for every bitcoin address.  You don't have a single private key that unlocks everything.  Bitcoin addresses are a 160-bit hash of the public key, everything else in the system is 256-bit.

If there was a collision, the collider could spend any money sent to that address.  Just money sent to that address, not the whole wallet.

If you were to intentionally try to make a collision, it would currently take 2^126 times longer to generate a colliding bitcoin address than to generate a block.  You could have got a lot more money by generating blocks.

The random seed is very thorough.  On Windows, it uses all the performance monitor data that measures every bit of disk performance, network card metrics, cpu time, paging etc. since your computer started.  Linux has a built-in entropy collector.  Adding to that, every time you move your mouse inside the Bitcoin window you're generating entropy, and entropy is captured from the timing of disk ops.
legendary
Activity: 2604
Merit: 2353
March 28, 2019, 07:01:49 AM
#39
Concerant le risque de colision

Reponse d'un autre membre en 2012  :


Quote
The odds in colliding with a specific address is 1 in 2^160.

If there are a billion users and each have one million active addresses (1 quadrillion funded addresses in the blockchain) the odds in colliding with any address would be roughly 1 in 2^110 (1*10^33).

Vanitygen can produce 20 million keypairs per second.  Lets say you build a super ASIC on 12nm (4 generations ahead of current tech) process that could create, validate, and steal one trillion keypairs per second (1 TK/s). That would be about 50,000x more powerful than faster GPU today.  Lets also say you built a thousand of them and ran them continually with no downtime 24/7/365.   In 1 year you could brute force 3*10^28 possible addresses.  

If there are 1 quadrillion funded addresses you would still have a ~1% chance of colliding with a random funded address in the next 1,000 years.

TL/DR Vlad's answer works.


source : https://bitcointalksearch.org/topic/m.1143828


J'ai pas verifie le calcul Smiley

Sinon ce lien confirme aussi la quote precedente
https://crypto.stackexchange.com/questions/33821/how-to-deal-with-collisions-in-bitcoin-addresses
Pour en revenir à ces calculs, ça reste à mon avis tres theorique.
Dans la réalité les gens utilisent les mêmes logiciels et materiels pour générer les clés, la distribution est donc loin d'être parfaitement equiprobable amha.
Bitaddress qui impose de bouger sa souris dans tous les sens pendant plusieurs minutes, affirme que les methodes informatiques seront toujours moins fiables que l'utilisation d'un simple dé.
Pourtant un dé réel n'est par définition pas parfait, pas parfaitement équilibré. Il a forcément un balourd.
Sur n lancés le balourd va ressortir plus d'une fois sur 6.
Les séquences qui comportent l'occurence du balourd moins d'une 1/6 fois(16,66%) ont donc beaucoup moins de chances de sortir, voir quasiment aucune si elles sont longues.

Quote
How do I make a wallet using dice? What is B6?
An important part of creating a Bitcoin wallet is ensuring the random numbers used to create the wallet are truly random. Physical randomness is better than computer generated pseudo-randomness.
The easiest way to generate physical randomness is with dice.
To create a Bitcoin private key you only need one six sided die which you roll 99 times.
Stopping each time to record the value of the die. When recording the values follow these rules: 1=1, 2=2, 3=3, 4=4, 5=5, 6=0.
By doing this you are recording the big random number, your private key, in B6 or base 6 format.
You can then enter the 99 character base 6 private key into the text field above and click View Details. You will then see the Bitcoin address associated with your private key.
You should also make note of your private key in WIF format since it is more widely used.
Si on veut attaquer une clé créé par cette méthode on peut tranquillement éliminer toutes les combinaisons de 99 chiffres(de base 6) qui ne comportent pas un chiffre présent plus de 17 voir même 20 fois...
Par ailleurs personne ne va utiliser non plus un dé complètement pipé pour ça. Un dé qui sort le même chiffre une fois sur deux lancés va être écarté. Donc on peut également éliminer toutes les combinaisons comportant un chiffre présent plus 40fois, voir moins.
Au final seules les combinaisons comportant un chiffre présent entre 20 et 40fois restent probables.
full member
Activity: 225
Merit: 106
December 30, 2018, 10:20:33 AM
#38
Oui, ok !
Et sinon, un virus peut enlever la protection en écriture d'une carte SD qui a été verrouillée physiquement par un bouton sur la carte SD ?

Merci à tous!
HC
member
Activity: 127
Merit: 29
December 20, 2018, 03:29:25 PM
#37
Salut,
Alors pour linux Ubuntu, c'est 95% identique a windows.
On s'y fait tres vite et pour faire des trucs de bases tu n'a pas besoin de la console (tu te souviens du film Matrix ?) tout est via interface graphique (comme sur windows ou Mac).

Le linux boot uniquement sur la clef USB (ou le CD), il n'installe rien sur le SSD.
Ton windows ne remarquera rien.

Je voudrais pas dire de connerie (verifie peut etre sur google).
Mais avec une clef usb live linux, tu peux aller sur un PC super verole, et rester immune aux virus, vu que c'est vraiment deux partitions a part et que tout ce passe sur ta clef usb.

Si tu boot  la clef, elle virtualise un linux il monte en mémoire vive mais n'existe pas "en dur" et ta partition de disque dur n'est pas amorcée mais le système,reconnaît, index
quand même le disque alors jusqu'à quel point ?
full member
Activity: 196
Merit: 295
W̔̆̌̏͂͑ͦͧ
December 20, 2018, 02:06:33 PM
#36
Salut,
Alors pour linux Ubuntu, c'est 95% identique a windows.
On s'y fait tres vite et pour faire des trucs de bases tu n'a pas besoin de la console (tu te souviens du film Matrix ?) tout est via interface graphique (comme sur windows ou Mac).

Le linux boot uniquement sur la clef USB (ou le CD), il n'installe rien sur le SSD.
Ton windows ne remarquera rien.

Je voudrais pas dire de connerie (verifie peut etre sur google).
Mais avec une clef usb live linux, tu peux aller sur un PC super verole, et rester immune aux virus, vu que c'est vraiment deux partitions a part et que tout ce passe sur ta clef usb.

full member
Activity: 225
Merit: 106
December 20, 2018, 06:30:43 AM
#35

Oui je commence à comprendre le truc ! Comment faire pour que le wallet en ligne ne télécharge pas toute la blockchaine ? Mais qu'il ne soit qu'en lecture seule ?

Là où je bug encore c'est sur comment est-ce que la blockchain peut savoir qu'une adresse publique est attribuée à un wallet qui ne s'est jamais connecté à internet ? Comment est-ce que, quand je créé un wallet avec myetherwallet en hors ligne, la blockchain sait déjà que j'ai créé un wallet et ensuite qu'il est connecté à un adresse spécifique ?!?

Merci,
HC
C'est parce qu'il ne faut pas le dire mais il n'y a aucune verification de "préemption" lorsque tu crées un "wallet".
Un wallet c'est juste une clé privée.
Et comme tu l'auras compris puisqu'il n'y a pas de verification d'existence tu peux te retrouver avec la clef privée d'un wallet qui existe déja et qui est utilisé par quelqu'un d'autre...
BTC et les altcoins utilisant ce système comptent juste sur le fait que le nombre d'adresses possibles est tellement grand qu'il serait soi-disant impossible de générer 2fois la même adresse  Tongue
Je n'ai jamais compris cette logique : si on prend une personne qui joue au loto la probabilité qu'elle gagne est infinitésimale et relève de l'improbable. Pourtant il y a bien des gagnants!

(Si je dis une bêtise qu'un pro me corrige et m'explique)

Okay, c'est bon j'ai compris ... j'accepte ce que j'ai toujours voulu ne jamais voir ahaha ...Bon bah on va laisser couler alors et esperer juste que l'épée de damocles ne va pas nous tomber dessus !

Bonjour HC

As tu pense a te faire un LIVE CD ou un LIVE USB avec linux Ubuntu (ou Mint) ?
(si tu en fait, va sur le site officiel de Ububtu)  : https://www.ubuntu.com/download/desktop

Tu lance n’importe-quel PC, au démarrage tu presse F12 ou DEL (selon ta bécane) pendant le BIOS.

Tu démarre depuis la clef usb (o ule CD)  et cela te fait un environment linux a usage unique (rien de sera sauvegarde sur ton pc ou sur la clef usb).


Quel est l'avantage ?

Et bien si tu connait l’adresse du site web ou tu veux aller, tu peux t'y rendre depuis ce CD ou USB sans craindre un virus, un key logger ou quoique ce soit.

Donc tu peux aller sur le siteweb de wave et faire ta manip sur un PC "vierge" qui n'a jamais ete sur le net avant.
Et en utilisant Linux aucun risque de virus (si tu te contente de juste faire la manip indique plus haut).

PS : un USB live est bien plus rapid qu'un CD live


Mhmm je ne connaissais pas cette technique ! Elle est bien !!! Après c'est vrai que je ne suis pas un pro niveau informatique et je n'ai jaaaamais touché à linux ubuntu. Je vais qd même regarder en plus de ma méthode où je n'ai pas à rebooter l'ordi, avec laquelle je suis plus à l'aise pour l'instant !
Je me pose une question sur la méthode du reboot en linux : il n'y a pas de risque qu'un virus se planque dans la bécane (dans la carte mère / carte graphique) et infecte à chaque fois tout nouveau OS qui est installé ?
Autre question à ce sujet : qd je vais rebooter sur linux ubuntu depuis ma clef USB, mon windows de base (celui avec qui je créé mes portefeuils et qui est déconnecté d'internet) sera tjrs dans la bécanne sur mon SSD. Techniquement, il me semble qu'un virus pourrait alors passer de Linux à mon windows SSD, il doit bien y avoir un chemin puisque les deux auront du matériel informatique en commun ?
Je sais là ça devient un peu tiré par les cheveux mais c'est plus une question perso et d’intérêt informatique, de manière générale.


Quote
Komodo : utiliser le paperwallet generator selon ce tuto qui provient du site officiel de komodo : https://support.komodoplatform.com/support/solutions/articles/29000024508-paper-wallet-guide. Alors oui je télécharge un générateur sur internet. Mais c'est depuis le site officiel et ensuite je vais l'utiliser sur un autre ordi qui n'est jamais connecté à internet ... Donc là je suis rassuré. Donnez votre avis

Tu passe comment d'un PC a l'autre ? par clef usb ?
assure toi que ton premier PC n'a pas de virus.


Oui c'est ça, pour passer du PC connecté à internet à mon PC déconnecté d'internet je passe par clef USB. Sauf que cette clef USB est bloquée en écriture quand elle va sur le PC déconnecté d'internet. Comme ça si un virus infecte ma clef USB via mon ordi connecté à internet, certes elle va me foutre le virus sur le PC déconnecté d'internet mais après il ne pourra pas transmettre les infos au hacker pq l'ordi est deco d'internet et que la clef est bloquée en écriture. Bien sûr je fais tout pour de base éviter un virus sur l'ordi connecté à internet. Vous en pensez quoi ?

Merci beaucoup pour toutes vos réponses !!
HC
full member
Activity: 196
Merit: 295
W̔̆̌̏͂͑ͦͧ
December 19, 2018, 04:29:14 PM
#34
J'ai edite mon message
legendary
Activity: 2604
Merit: 2353
December 19, 2018, 04:21:08 PM
#33
Ce n'est pas une histoire d'adresse de reception, c'est bien la generation des wallets qui a bugué.
Blockchain l'a d'ailleurs humblement reconnu.

Quote
In rare circumstances, certain versions of Android operating system could fail to provide sufficient entropy, and when backup provisions also failed, multiple users could end up generating duplicate addresses.To our knowledge, this bug resulted in one specific address being generated multiple times, leading to a loss of funds for a handful of users.
https://blog.blockchain.com/2015/05/28/android-wallet-security-update/
full member
Activity: 196
Merit: 295
W̔̆̌̏͂͑ͦͧ
December 19, 2018, 04:12:16 PM
#32
@cestmoi Merci pour cette explication meritante noob  Grin

Sinon, sans vouloir faire peur il faut quand même noter, qu'il y a bien eu des utilisateurs qui se sont retrouvés avec la même adresse à la suite d'un bug de génération.
C'est notamment arrivé sur l'app de Blockchain pour android en 2015
https://arstechnica.com/information-technology/2015/05/crypto-flaws-in-blockchain-android-app-sent-bitcoins-to-the-wrong-address/

EDIT : ah oui en effet ! /EDIT

Les ordinateurs quantique ? oui pourquoi pas. Mais ce sera plus rentable de calculer un bloc (et donc d'avoir 12.5BTC) que de calcule une clef privee.

Donc un conseil, ne pas stocker plus que la valeur de reward d'un bloc Smiley



legendary
Activity: 2604
Merit: 2353
December 19, 2018, 03:17:53 PM
#31
@cestmoi Merci pour cette explication meritante noob  Grin

Sinon, sans vouloir faire peur il faut quand même noter, qu'il y a bien eu des utilisateurs qui se sont retrouvés avec la même adresse à la suite d'un bug de génération.
C'est notamment arrivé sur l'app de Blockchain pour android en 2015
https://arstechnica.com/information-technology/2015/05/crypto-flaws-in-blockchain-android-app-sent-bitcoins-to-the-wrong-address/
sr. member
Activity: 586
Merit: 317
December 19, 2018, 03:13:10 PM
#30

Tu a complètement raison.
c'est en théorie possible, peut être que ca arrivera un jour mais aussi très peu probable.

Tu a plus de chance de trouver un ticket de lotto gagnant  sur le sol tous les jours pendant une semaine que d;avoir ton wallet duplique car quelqu'un d'autre a cause d'une collision de HASH

Il y a une théorie qui circule à propos des ordinateurs quantiques, qui potentiellement pourraient y arriver. Mais bon, cela n'est qu'une théorie.
full member
Activity: 196
Merit: 295
W̔̆̌̏͂͑ͦͧ
December 19, 2018, 02:01:21 PM
#29
~snip~

C'est parce qu'il ne faut pas le dire mais il n'y a aucune verification de "préemption" lorsque tu crées un "wallet".
Un wallet c'est juste une clé privée.
Et comme tu l'auras compris puisqu'il n'y a pas de verification d'existence tu peux te retrouver avec la clef privée d'un wallet qui existe déja et qui est utilisé par quelqu'un d'autre...
BTC et les altcoins utilisant ce système comptent juste sur le fait que le nombre d'adresses possibles est tellement grand qu'il serait soi-disant impossible de générer 2fois la même adresse  Tongue
Je n'ai jamais compris cette logique : si on prend une personne qui joue au loto la probabilité qu'elle gagne est infinitésimale et relève de l'improbable. Pourtant il y a bien des gagnants!

(Si je dis une bêtise qu'un pro me corrige et m'explique)

Tu a complètement raison.
c'est en théorie possible, peut être que ca arrivera un jour mais aussi très peu probable.

Tu a plus de chance de trouver un ticket de lotto gagnant  sur le sol tous les jours pendant une semaine que d;avoir ton wallet duplique car quelqu'un d'autre a cause d'une collision de HASH
full member
Activity: 196
Merit: 295
W̔̆̌̏͂͑ͦͧ
December 19, 2018, 01:58:26 PM
#28
Concerant le risque de colision

Reponse d'un autre membre en 2012  :


Quote
The odds in colliding with a specific address is 1 in 2^160.

If there are a billion users and each have one million active addresses (1 quadrillion funded addresses in the blockchain) the odds in colliding with any address would be roughly 1 in 2^110 (1*10^33).

Vanitygen can produce 20 million keypairs per second.  Lets say you build a super ASIC on 12nm (4 generations ahead of current tech) process that could create, validate, and steal one trillion keypairs per second (1 TK/s). That would be about 50,000x more powerful than faster GPU today.  Lets also say you built a thousand of them and ran them continually with no downtime 24/7/365.   In 1 year you could brute force 3*10^28 possible addresses. 

If there are 1 quadrillion funded addresses you would still have a ~1% chance of colliding with a random funded address in the next 1,000 years.

TL/DR Vlad's answer works.


source : https://bitcointalksearch.org/topic/m.1143828


J'ai pas verifie le calcul Smiley

Sinon ce lien confirme aussi la quote precedente
https://crypto.stackexchange.com/questions/33821/how-to-deal-with-collisions-in-bitcoin-addresses
legendary
Activity: 2604
Merit: 2353
December 19, 2018, 01:33:58 PM
#27
Pour faire simple car je ne suis pas un pro :
Ton wallet offline sert uniquement à verifier ta transaction (puisque tu as la pair clé privé/clé publique)
Tu creer ta transaction que tu enregistres sur clé USB
Tu charges cette transaction sur ton wallet en ligne (qui est en lecture seule) ce qui te permets de diffuser cette transaction qui sera mémorisé par la BC

je ne sais pas si je suis clair  Undecided





Oui je commence à comprendre le truc ! Comment faire pour que le wallet en ligne ne télécharge pas toute la blockchaine ? Mais qu'il ne soit qu'en lecture seule ?

Là où je bug encore c'est sur comment est-ce que la blockchain peut savoir qu'une adresse publique est attribuée à un wallet qui ne s'est jamais connecté à internet ? Comment est-ce que, quand je créé un wallet avec myetherwallet en hors ligne, la blockchain sait déjà que j'ai créé un wallet et ensuite qu'il est connecté à un adresse spécifique ?!?

Merci,
HC
C'est parce qu'il ne faut pas le dire mais il n'y a aucune verification de "préemption" lorsque tu crées un "wallet".
Un wallet c'est juste une clé privée.
Et comme tu l'auras compris puisqu'il n'y a pas de verification d'existence tu peux te retrouver avec la clef privée d'un wallet qui existe déja et qui est utilisé par quelqu'un d'autre...
BTC et les altcoins utilisant ce système comptent juste sur le fait que le nombre d'adresses possibles est tellement grand qu'il serait soi-disant impossible de générer 2fois la même adresse  Tongue
Je n'ai jamais compris cette logique : si on prend une personne qui joue au loto la probabilité qu'elle gagne est infinitésimale et relève de l'improbable. Pourtant il y a bien des gagnants!

(Si je dis une bêtise qu'un pro me corrige et m'explique)
full member
Activity: 196
Merit: 295
W̔̆̌̏͂͑ͦͧ
December 19, 2018, 01:31:59 PM
#26
Bonjour HC

As tu pense a te faire un LIVE CD ou un LIVE USB avec linux Ubuntu (ou Mint) ?
(si tu en fait, va sur le site officiel de Ububtu)  : https://www.ubuntu.com/download/desktop

Tu lance n’importe-quel PC, au démarrage tu presse F12 ou DEL (selon ta bécane) pendant le BIOS.

Tu démarre depuis la clef usb (o ule CD)  et cela te fait un environment linux a usage unique (rien de sera sauvegarde sur ton pc ou sur la clef usb).


Quel est l'avantage ?

Et bien si tu connait l’adresse du site web ou tu veux aller, tu peux t'y rendre depuis ce CD ou USB sans craindre un virus, un key logger ou quoique ce soit.

Donc tu peux aller sur le siteweb de wave et faire ta manip sur un PC "vierge" qui n'a jamais ete sur le net avant.
Et en utilisant Linux aucun risque de virus (si tu te contente de juste faire la manip indique plus haut).

PS : un USB live est bien plus rapid qu'un CD live


Quote
Komodo : utiliser le paperwallet generator selon ce tuto qui provient du site officiel de komodo : https://support.komodoplatform.com/support/solutions/articles/29000024508-paper-wallet-guide. Alors oui je télécharge un générateur sur internet. Mais c'est depuis le site officiel et ensuite je vais l'utiliser sur un autre ordi qui n'est jamais connecté à internet ... Donc là je suis rassuré. Donnez votre avis

Tu passe comment d'un PC a l'autre ? par clef usb ?
assure toi que ton premier PC n'a pas de virus.



Sinon, non le ledger n'ont pas ete hacke.
Il ont vendu 1.3 million d'unite sans hack.

Les hardware wallet (trezor, ledger....) sont le future.... juste pas celui de John McAffee haha
full member
Activity: 225
Merit: 106
December 19, 2018, 08:04:56 AM
#25
Salut cestmoi,

J'ai envisagé d'acheter un ledger ou un trezor mais finalement ça ne me convient pas Sad Je cherche vraiment une méthode avec le moins d'outils extérieurs possibles. J'avais également lu que le ledger avait été hacké par un jeune de 15 ans. Alors vrai ou pas certains disent oui, d'autres non. Mais des failles auraient été découvertes. Du coup je prends mes distances avec ledger, trezor.  Et j'envisage également de prendre des coins qui ne sont pas supportés par le ledger ou le trezor. Du coup je vais me retrouver tjrs avec le même problème dans quelques temps.

J'essaie vraiment d'avoir juste avec un pc, déconnecté d'internet, ou un papier et un crayon pour sauvegarder mes coins. La méthode myetherwallet est "géniale". Tu peux même envoyer des coins en offline ! Pour l'instant la seule méthode que j'ai pu trouver depuis hier pour komodo, neo et waves, c'est :

Komodo : utiliser le paperwallet generator selon ce tuto qui provient du site officiel de komodo : https://support.komodoplatform.com/support/solutions/articles/29000024508-paper-wallet-guide. Alors oui je télécharge un générateur sur internet. Mais c'est depuis le site officiel et ensuite je vais l'utiliser sur un autre ordi qui n'est jamais connecté à internet ... Donc là je suis rassuré. Donnez votre avis Smiley

Neo : je vais sur cette page : https://snowypowers.github.io/ansy/ (qui vient du site officiel), je la télécharge sur mon pc pour pouvoir l'utiliser en offline. J'ai essayé et j'ai pu créer un paper wallet avec clef publique et clef privée en offline depuis la page préalablement téléchargée. Après je n'ai pas vérifié la nouvelle adresse créée en envoyant quelques centimes de neo dessus. Mais en tout cas la nouvelle adresse apparaît sur neotracker, la blockchain explorer de neo. Le seul hic, c'est que là, contrairement à myetherwallet, je ne peux pas faire de transaction offline. Le jour où je vais envoyer mes coins quelque part, ça va être depuis internet pour envoyer tout de suite sur un exange et convertir en euro. Après ça, mes clefs auront été sur le web et donc le portefeuille en question comprendra un risque d'être hacké. Il faudra alors en faire un nouveau. Comme je suis un holder, ça ne me dérange pas. Si quelqu'un sait comment envoyer en offline, je suis preneur !! Sinon donnez votre avis Smiley

Waves : Pour waves, exactement la meme methode que pour neo. J'ai juste eu un petit blocage quand j'ai voulu créer l'adresse wallet depuis ma page offline lancée en local. Pour que ça fonctionne, il a fallu que je fasse d'abord une adresse wallet (= la clef publique) depuis le site de waves en étant connecté à internet. Ensuite j'ai relancé le client web (avec internet d'activé) avec cette première adresse mais en étant déconnecté de celle-ci, c'est-à-dire là où ils demandent d'entrer le mot de passe (la private key). A ce moment là j'ai téléchargé la page alors pour pouvoir l'utiliser en offline. J'ai déconnecté internet et j'ai lancé cette page en local. Cette page s'est ouverte donc sur la première adresse créée, là où on me demandait le mot de passe. Au lieu de me connecter à cette adresse, j'ai fait "create new adress" et c'est alorsà ce moment seulement où j'ai pu suivre les instruction et créer une nouvelle adresse et cette fois-ci avec internet déconnecté. Voilà, là aussi je suis interessé par votre avis sur ma méthode pour waves.


Encore merci à vous tous et à ceux qui liront !
HC

full member
Activity: 196
Merit: 295
W̔̆̌̏͂͑ͦͧ
December 18, 2018, 04:46:35 PM
#24
Bonjour tout le monde !

Merci Seekoin grâce à toi et aux autres le puzzle commence à se former ahah !
Et oui, pas de wallet semble être le plus sûr. Je suis d'ailleurs en train de passer mes quelques coins sur du coldstorage. Pour mes coins ERC20, c'est facile, j'ai myetherwallet qui a mâché tout le travail et qui nous permet de générer un portefeuille offline.
Mais pour beaucoup d'autres coins, je n'arrive pas à agir comme avec myetherwallet. J'ai du komodo, du waves et du neo qui restent sur exange pq je n'ai pas trouvé comment les envoyer sur un wallet créé à partir d'un pc offline.

Pour komodo, il me semble que je peux générer clef privée et publique en offline avec le même principe que myetherwllet offline en téléchargeant la page internet lancée en local depuis ce site : https://github.com/SuperNETorg/KomodoPaperWalletGenerator Qu'en pensez-vous ?

En revanche pour waves et neo, je dois tout faire depuis un wallet qui doit être téléchargé directement sur le pc qui doit rester connecté à internet et je trouve cela dangereux. Ça rend le hack possible. Comment puis-je alors pour ces coins créer un clef publique/privée depuis un pc totalement offline (comme pour komodo ou ethreum) avec waves ou neo ?

Merci beaucoup
HC

Pour neo et waves, pourquoi ne pas utiliser un Ledger Nano S.

https://support.ledger.com/hc/en-us/articles/115005304449-Supported-crypto-assets

Aucun risque (a prioris) de hack possible.
Le neo wallet est gere par le nano S et waves est genere via le nano S sur l'interface web de waves.

Tu peux sauvergarder ta seed ou tu veux.


J'ai deux nano S et c'est juste au top (et c'est Francais !)
full member
Activity: 225
Merit: 106
December 18, 2018, 02:20:13 PM
#23
Bonjour tout le monde !

Merci Seekoin grâce à toi et aux autres le puzzle commence à se former ahah !
Et oui, pas de wallet semble être le plus sûr. Je suis d'ailleurs en train de passer mes quelques coins sur du coldstorage. Pour mes coins ERC20, c'est facile, j'ai myetherwallet qui a mâché tout le travail et qui nous permet de générer un portefeuille offline.
Mais pour beaucoup d'autres coins, je n'arrive pas à agir comme avec myetherwallet. J'ai du komodo, du waves et du neo qui restent sur exange pq je n'ai pas trouvé comment les envoyer sur un wallet créé à partir d'un pc offline.

Pour komodo, il me semble que je peux générer clef privée et publique en offline avec le même principe que myetherwllet offline en téléchargeant la page internet lancée en local depuis ce site : https://github.com/SuperNETorg/KomodoPaperWalletGenerator Qu'en pensez-vous ?

En revanche pour waves et neo, je dois tout faire depuis un wallet qui doit être téléchargé directement sur le pc qui doit rester connecté à internet et je trouve cela dangereux. Ça rend le hack possible. Comment puis-je alors pour ces coins créer un clef publique/privée depuis un pc totalement offline (comme pour komodo ou ethreum) avec waves ou neo ?

Merci beaucoup
HC
sr. member
Activity: 586
Merit: 317
July 12, 2018, 07:38:33 AM
#22

Oui je commence à comprendre le truc ! Comment faire pour que le wallet en ligne ne télécharge pas toute la blockchaine ? Mais qu'il ne soit qu'en lecture seule ?

Là où je bug encore c'est sur comment est-ce que la blockchain peut savoir qu'une adresse publique est attribuée à un wallet qui ne s'est jamais connecté à internet ? Comment est-ce que, quand je créé un wallet avec myetherwallet en hors ligne, la blockchain sait déjà que j'ai créé un wallet et ensuite qu'il est connecté à un adresse spécifique ?!?

Merci,
HC

Tu n'es pas obligé de télécharger toute la Blockchain si tu utilises un client SPV: il va juste te charger certains entêtes.
Pour ta deuxième question, la Blockchain se moque toujours de l'appartenance des adresses: la transaction se fera toujours, même si l'adresse de destination n'a pas de réel propriétaire.

Ce qui est par contre important, c'est la possibilité de signer une transaction pour envoyer des fonds, et là il est nécessaire de le faire via une clé privée. Le truc que tu dois comprendre, c'est qu'un wallet ne stock aucune valeur, mais qu'il ne te sert uniquement à signer une transaction.

Pour info, j'ai du Bitcoin Cash et pour ce dernier, je n'ai même pas de wallet, puisque je me contente d'en accumuler. Bien entendu, j'ai les clés privées cachées quelque part, pour le jour où je voudrais en vendre.

La meilleure des protections, c'est de ne pas avoir de wallet; étonnant, non ?
newbie
Activity: 22
Merit: 0
July 05, 2018, 10:15:21 PM
#21
Je pense que cela constitut dejas le niveau moyen de securite.
member
Activity: 420
Merit: 31
July 05, 2018, 04:33:27 PM
#20
myether c'est un site tiers qui te creer une adresse

si tu ne creer pas de transaction avec cette nouvelle adresse la BC ne peut pas la connaitre
full member
Activity: 225
Merit: 106
July 05, 2018, 01:37:26 PM
#19
Pour faire simple car je ne suis pas un pro :
Ton wallet offline sert uniquement à verifier ta transaction (puisque tu as la pair clé privé/clé publique)
Tu creer ta transaction que tu enregistres sur clé USB
Tu charges cette transaction sur ton wallet en ligne (qui est en lecture seule) ce qui te permets de diffuser cette transaction qui sera mémorisé par la BC

je ne sais pas si je suis clair  Undecided





Oui je commence à comprendre le truc ! Comment faire pour que le wallet en ligne ne télécharge pas toute la blockchaine ? Mais qu'il ne soit qu'en lecture seule ?

Là où je bug encore c'est sur comment est-ce que la blockchain peut savoir qu'une adresse publique est attribuée à un wallet qui ne s'est jamais connecté à internet ? Comment est-ce que, quand je créé un wallet avec myetherwallet en hors ligne, la blockchain sait déjà que j'ai créé un wallet et ensuite qu'il est connecté à un adresse spécifique ?!?

Merci,
HC
member
Activity: 420
Merit: 31
July 04, 2018, 05:07:10 PM
#18
Pour faire simple car je ne suis pas un pro :
Ton wallet offline sert uniquement à verifier ta transaction (puisque tu as la pair clé privé/clé publique)
Tu creer ta transaction que tu enregistres sur clé USB
Tu charges cette transaction sur ton wallet en ligne (qui est en lecture seule) ce qui te permets de diffuser cette transaction qui sera mémorisé par la BC

je ne sais pas si je suis clair  Undecided



full member
Activity: 322
Merit: 117
July 04, 2018, 02:59:30 PM
#17
Des dictionnaires de hash ? je comprends pas trop de ce que tu parles. Le hash et calculer en fonction de ton fichier ( pour un fichier que tu voudrais télécharger et vérifier que tu es le bon ).
Donc je vois pas trop comment ils peuvent vendre ça.

En gros tu peux acheter une grosse base de donnée (ça se paye au nombre de caractère, et plus il y en a plus la base de donnée est importante et cher) de mot de passe hashés. Quand un hackeur obtient un hash de mot de passe il peux simplement faire un grep dans cette base et obtient un mot de passe convenable (pas forcement le même puisqu'il peut y avoir des collision mais un qui marchera...)

Merci pour l'information je voyais pas le truc comme ça. C'est pire que ce que je pensais.
Faut changer ses mot de passe assez souvent alors.
full member
Activity: 225
Merit: 106
July 04, 2018, 02:38:45 PM
#16
D'accord, très intéressant, merci pour votre aide !!

tu viens de faire un grand pas dansla securisation de tes cryptos ^^

A part la BC je ne fait confiance à personne
Il faut DL toi mm tes wallets sur un lien sécurisé et héberger le tout sur un PC jamais connecté

Mais justement, c'est là ou je bug !! Comment est-ce qu'un wallet installé sur un pc, qui n'est jaaaamais connecté sur internet, arrive-t-il a échanger avec la blockchain puisqu'il n'y a pas internet ?!? Comment ce fameux wallet offline parvient-il a envoyer ou recevoir des coins sans internet ? Pour cela le wallet doit se synchroniser en permanence non ?

En gros, alors, tout wallet peut être utilisé offline ??

Merci !
HC


Tu peux uniquement générer une adresse et l'imprimer sur papier ou t'en servir pour recevoir de l'argent avec un wallet offline. Par contre n'étant pas connecté à la blockchain tu ne pourra évidement pas faire d'échanges.

Mais du coup, comment un jour envoyer ses coins depuis son wallet vers une plateforme, le tout sans utiliser internet sur un pc ? Je suis un daube en informatique et je ne comprends tjrs pas comment un wallet peut alors interagir avec la blockchain, ou se mettre à jour sans jamais se connecter à internet ! Comment un wallet va comprendre qu'il a reçu des coins alors qu'il n'est pas connecté à internet ?

Je sais que My etherwallet permet de le faire... je l'accepte mais cependant sans le comprendre. Est-ce que touuuus les wallets (autre que btc, ethereum) permettent d'executer ses méthode de la transaction sans internet ?

Merci !
member
Activity: 266
Merit: 12
July 04, 2018, 02:45:26 AM
#15
Des dictionnaires de hash ? je comprends pas trop de ce que tu parles. Le hash et calculer en fonction de ton fichier ( pour un fichier que tu voudrais télécharger et vérifier que tu es le bon ).
Donc je vois pas trop comment ils peuvent vendre ça.

En gros tu peux acheter une grosse base de donnée (ça se paye au nombre de caractère, et plus il y en a plus la base de donnée est importante et cher) de mot de passe hashés. Quand un hackeur obtient un hash de mot de passe il peux simplement faire un grep dans cette base et obtient un mot de passe convenable (pas forcement le même puisqu'il peut y avoir des collision mais un qui marchera...)
member
Activity: 266
Merit: 12
July 04, 2018, 02:40:25 AM
#14
D'accord, très intéressant, merci pour votre aide !!

tu viens de faire un grand pas dansla securisation de tes cryptos ^^

A part la BC je ne fait confiance à personne
Il faut DL toi mm tes wallets sur un lien sécurisé et héberger le tout sur un PC jamais connecté

Mais justement, c'est là ou je bug !! Comment est-ce qu'un wallet installé sur un pc, qui n'est jaaaamais connecté sur internet, arrive-t-il a échanger avec la blockchain puisqu'il n'y a pas internet ?!? Comment ce fameux wallet offline parvient-il a envoyer ou recevoir des coins sans internet ? Pour cela le wallet doit se synchroniser en permanence non ?

En gros, alors, tout wallet peut être utilisé offline ??

Merci !
HC


Tu peux uniquement générer une adresse et l'imprimer sur papier ou t'en servir pour recevoir de l'argent avec un wallet offline. Par contre n'étant pas connecté à la blockchain tu ne pourra évidement pas faire d'échanges.
sr. member
Activity: 810
Merit: 444
July 03, 2018, 04:37:46 PM
#13
Bonjour,

Pouvez vous s’il vous plaît me donner des conseils concernant la sécurité pour le Trading sur pc

1/J’utilise un câble’ ethernet (surtout pas de connexion wifi)

2/Je compte installer une machine virtuelle dans laquelle j’installerai le software Linux/Ubuntu car window niveau sécurité c’est pas top.

3/ Utiliser un VPN dans ma machine vituelle

4//Je bookmareai le page  de l’exchange  afin d’eviter les phishings et je vérifierai également l’adresse du site sur la bare de recheche => double sécurité : bookmark + verifi

5/2FA pour le login de l’exchange

J’ai entendu parler parler du RPS

Qu’en pensez vous ? Ai je oublie autre chose?

Merci pour votre aide
Le premier et probablement le meilleur conseil de sécurité concernant le trading est de ne pas laisser tes fonds sur un exchange, quel qu'il soit : aucun n'est sécure complètement... et encore moins garanti de quoi que ce soit (contrairement aux services boursiers conventionnels).

Si tu appliques ce conseil à la lettre, tu ne trades pas.
Si tu n'appliques pas ce conseil à la lettre, tu prends déjà un risque avant toute opération de trading.

A toi de voire : en général, cela se traduit par du trading avec de petites sommes... puis des larmes le jour ou l'exchange est hacké ou se révèle être une arnaque.

Sinon, je te déconseille la VM ; c'est lourd à gérer et quand tu trades, tu as besoin d'être concentré. Passe directement à Linux.
full member
Activity: 225
Merit: 106
July 03, 2018, 04:25:08 PM
#12
D'accord, très intéressant, merci pour votre aide !!

tu viens de faire un grand pas dansla securisation de tes cryptos ^^

A part la BC je ne fait confiance à personne
Il faut DL toi mm tes wallets sur un lien sécurisé et héberger le tout sur un PC jamais connecté

Mais justement, c'est là ou je bug !! Comment est-ce qu'un wallet installé sur un pc, qui n'est jaaaamais connecté sur internet, arrive-t-il a échanger avec la blockchain puisqu'il n'y a pas internet ?!? Comment ce fameux wallet offline parvient-il a envoyer ou recevoir des coins sans internet ? Pour cela le wallet doit se synchroniser en permanence non ?

En gros, alors, tout wallet peut être utilisé offline ??

Merci !
HC
full member
Activity: 322
Merit: 117
July 03, 2018, 12:33:33 PM
#11
Des dictionnaires de hash ? je comprends pas trop de ce que tu parles. Le hash et calculer en fonction de ton fichier ( pour un fichier que tu voudrais télécharger et vérifier que tu es le bon ).
Donc je vois pas trop comment ils peuvent vendre ça.
member
Activity: 266
Merit: 12
July 03, 2018, 12:30:43 PM
#10
après tu ne peux pas sécurisé à 100% mais le max que tu fais c'est déjà mieux que rien.
Après tu as les sites que tu consultes qui doivent faire bien gaffe à la sécurité, mais ça tu dépends d'eux et la tu peux rien faire.
Par exemple tu mets un bon password et le site tombe à une attaque bah même s'ils ont pas trouver ton MDP bah ils ont accès à tous de ton compte.



Oui et vu qu'on peut acheter facilement des dictionnaire de hash sur le darknet en ce moment ça fait un peu peur Smiley
full member
Activity: 322
Merit: 117
July 03, 2018, 12:19:34 PM
#9
après tu ne peux pas sécurisé à 100% mais le max que tu fais c'est déjà mieux que rien.
Après tu as les sites que tu consultes qui doivent faire bien gaffe à la sécurité, mais ça tu dépends d'eux et la tu peux rien faire.
Par exemple tu mets un bon password et le site tombe à une attaque bah même s'ils ont pas trouver ton MDP bah ils ont accès à tous de ton compte.
member
Activity: 266
Merit: 12
July 03, 2018, 06:08:53 AM
#8
Et surtout prendre des wallet avec les sources libres dispo sur github (mieux encore les compiler soit même si on a les compétences et ne pas prendre les binaires...)

Conteneuriser chaque wallet dans un docker peut être un plus aussi...
member
Activity: 420
Merit: 31
July 02, 2018, 04:30:19 PM
#7

Chaque porte ouverte sur le monde extérieur devient un danger et dans un esprit parano je te dirais même d'ouvrir tes mails, même destinés au trade sur un ordi standart et non pas pas sur le dédié.


C'est vrai que cet esprit parano peut sevir sévèrement quelque fois !!

D'ailleurs, par exemple, j'utilise myetherwallet.com. Mais finalement ... Comment on sait si cette interface est VRAIMENT safe !? Ou que finalment il n'y a pas une faille quelque part, que vraiment no clefs privées ne sont pas enregistrées (si quelqu'un n'utilise pas la méthode offline de Mew) ?

Merci,
HC

tu viens de faire un grand pas dansla securisation de tes cryptos ^^

A part la BC je ne fait confiance à personne
Il faut DL toi mm tes wallets sur un lien sécurisé et héberger le tout sur un PC jamais connecté
full member
Activity: 225
Merit: 106
June 30, 2018, 11:50:06 AM
#6

Chaque porte ouverte sur le monde extérieur devient un danger et dans un esprit parano je te dirais même d'ouvrir tes mails, même destinés au trade sur un ordi standart et non pas pas sur le dédié.


C'est vrai que cet esprit parano peut sevir sévèrement quelque fois !!

D'ailleurs, par exemple, j'utilise myetherwallet.com. Mais finalement ... Comment on sait si cette interface est VRAIMENT safe !? Ou que finalment il n'y a pas une faille quelque part, que vraiment no clefs privées ne sont pas enregistrées (si quelqu'un n'utilise pas la méthode offline de Mew) ?

Merci,
HC
full member
Activity: 322
Merit: 117
June 27, 2018, 01:28:29 PM
#5
3/ Utiliser un VPN dans ma machine vituelle

Le VPN c'est pas forcément un gage de sécurité à 100% hein.
En gros tu vas chiffrer les données qui transite entre toi et ton provider vpn. Mais le presta VPN lui il voit tout ton trafic sortant... Donc en gros tu déplace juste la confiance, tu choisi de ne pas faire confiance en ton fai mais de faire confiance à un service de VPN parfois obscure dans un pays étranger.

Concernant Linux c'est une bonne idée mais si tu es en mesure de sécurisé ton OS, c'est pas plus secure que windows si les mises à jours ne sont pas faites et s'il y a des failles...

PS : perso j'ai un serveur sous debian qui héberge mes wallet soft (et pour le stacking aussi) je le met à jour régulièrement, j'ai coupé tous les services inutiles dessus, un bon pare-feu netfilter et pour l'accès SSH par clef uniquement + code OTP.

un gros + 1.
Je suis d'accord avec tout ce qui est dis. Linux si c'est mal configurer c'est pire qu'un windows bien configurer.
Et le VPN c'est pour faire quoi ?  Télécharger des films en torrent, ou contourné une restriction de pays.
Sinon aucun interret pour moi, car si ton VPN se fait hacker tu perds tout.
newbie
Activity: 57
Merit: 0
June 27, 2018, 11:13:19 AM
#4
A priori d'après tous les points que tu as évoqués, c'est déjà un très bon niveau de sécurité pour ta machine.
Le point essentiel demeure, mais sur un ordinateur dédié de ne l'utiliser que pour faire du trade sur les plateformes de confiance et rien d'autre, vraiment aucune navigation et une vigilance très accrue sur les mails.
Chaque porte ouverte sur le monde extérieur devient un danger et dans un esprit parano je te dirais même d'ouvrir tes mails, même destinés au trade sur un ordi standart et non pas pas sur le dédié.
Parfois la faille de sécurité peut aussi être physique dans le sans ou une personne du cercle familial utlise l'ordinateur en vitesse pour aller voir un site divers ou varié donc mot de passe et voire aller jusqu'à assurer la sécurité des points de transferts physiques (usb,...)
   
member
Activity: 266
Merit: 12
June 27, 2018, 07:56:04 AM
#3
3/ Utiliser un VPN dans ma machine vituelle

Le VPN c'est pas forcément un gage de sécurité à 100% hein.
En gros tu vas chiffrer les données qui transite entre toi et ton provider vpn. Mais le presta VPN lui il voit tout ton trafic sortant... Donc en gros tu déplace juste la confiance, tu choisi de ne pas faire confiance en ton fai mais de faire confiance à un service de VPN parfois obscure dans un pays étranger.

Concernant Linux c'est une bonne idée mais si tu es en mesure de sécurisé ton OS, c'est pas plus secure que windows si les mises à jours ne sont pas faites et s'il y a des failles...

PS : perso j'ai un serveur sous debian qui héberge mes wallet soft (et pour le stacking aussi) je le met à jour régulièrement, j'ai coupé tous les services inutiles dessus, un bon pare-feu netfilter et pour l'accès SSH par clef uniquement + code OTP.
hero member
Activity: 1036
Merit: 531
June 27, 2018, 01:07:31 AM
#2
Salut, pour ton point 3, c'est un peu à double tranchant et moi je m'en passerai, à moins que ce soit un vpn de confiance ou perso.

Sinon, il faut que ce soit un truc uniquement dédié à ça.

Après malgré tout, si l'échange sur lequel tu trade se fait hacker tu ne pourra rien y faire
newbie
Activity: 69
Merit: 0
June 26, 2018, 05:13:16 PM
#1
Bonjour,

Pouvez vous s’il vous plaît me donner des conseils concernant la sécurité pour le Trading sur pc

1/J’utilise un câble’ ethernet (surtout pas de connexion wifi)

2/Je compte installer une machine virtuelle dans laquelle j’installerai le software Linux/Ubuntu car window niveau sécurité c’est pas top.

3/ Utiliser un VPN dans ma machine vituelle

4//Je bookmareai le page  de l’exchange  afin d’eviter les phishings et je vérifierai également l’adresse du site sur la bare de recheche => double sécurité : bookmark + verifi

5/2FA pour le login de l’exchange

J’ai entendu parler parler du RPS

Qu’en pensez vous ? Ai je oublie autre chose?

Merci pour votre aide
Jump to: